Biométrie et vie privée

(1)

HAL Id: hal-01099845

https://hal.archives-ouvertes.fr/hal-01099845

Submitted on 5 Jan 2015

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires

Biométrie et vie privée

Patrick Lacharme

To cite this version:

Patrick Lacharme. Biométrie et vie privée. Atelier Protection de la Vie Privée (APVP), 2012, Bre- tagne, Ile de Groix, France. �hal-01099845�

(2)

Biom´etrie et vie priv´ee

Patrick Lacharme patrick.lacharme@ensicaen.fr

R´esum´e

Le déploiement important des systèmes d’identification et d’authentification biométriques pose des problèmes très importants pour la vie privée des individus. Ce papier donne un aper¸cu des systèmes biométriques, de leurs utilisations, des méthodes de protection des données, ainsi que des conséquences engendrées sur la vie privée.

1 Introduction

De manière générale, l’identification est un procédé permettant d’identifier une personne, tandis que l’authentification assure de l’identité de cette personne, complétant ainsi le processus d’identification. Ces deux notions se distinguent facilement sur l’exemple d’un contrôle d’accès à un webmail.

Dans ce cas, l’identification se fait à l’aide d’un identifiant unique, tandis que l’authentification est réalisée avec un mot de passe. L’authentification de la personne est basée sur la connaissance de ce secret. Afin d’éviter les attaques par rejeux, on utilise des protocoles d’authentification en deux passes

`

a l’aide d’un challenge aléatoire, connus sous le nom de protocoles challenge/réponse. Si on veut une authentification sans apport de connaissance, on ajoute une troisième passe, dite d’engagement comme ceux proposés par Fiat-Shamir [FS87] ou Schnorr [Sch90]. Ces derniers protocoles sont toutefois appelés protocoles d’identification par leurs auteurs. Si le secret utilisé pour l’authentification est unique, il peut aussi être utilisé pour s’identifier (la raison est aussi historique, dans les années 80, le terme authentification

étant surtout employé pour l’authentification des données).

Le mélange de ces deux notions n’a pas disparu avec l’apparition de l’authentification forte. Celle-ci est basée sur trois facteurs : ce que je con- nais (un mot de passe), ce que je possède (une carte à puce) et ce que je suis (biométrie). Une carte à puce est un choix naturel pour le stockage d’une donnée secrète, car elle est supposée sécurisée et reste sous le contrôle de son porteur. Par contre, le dernier facteur d’authentification n’est rien d’autre qu’une donnée d’identification, particulièrement sensible du point de vue de la vie privée. L’identification et l’authentification biométrique sont présentées à travers certaines applications, en insistant sur les menaces que

(3)

2 Biom´ etrie

La biométrie est l’utilisation des caractéristiques d’un individu pour l’identifier, comme la reconnaissance du visage, les empreintes digitales, l’iris, le contour ou les veines de la main. Cette donnée doit être facilement mesurable et ne pas varier dans le temps. Une des plus célebre authentification biométrique est celle de la réfugiée afghane du National Geographic.

Dans les années 80, un journaliste prit la photo d’une jeune afghane dans un camp de réfugiés du Pakistan, qui devint célèbre pour la couleur verte de ses yeux. Ce journaliste retourna 17 ans plus tard au Pakistan pour la rechercher et publia une nouvelle photo. Une authentification biométrique de son iris permit de confirmer son identité¹[Dau]. Par ailleurs, les données biométriques n’ont pas toutes les mêmes caractéristiques. Ainsi, la mul- tiplication des caméras de surveillance n’est pas sans conséquence sur la biométrie faciale. De plus, les empreintes digitales qui sont les données biométriques les plus utilisées sont des données dites à trace, car chaque personne laisse des traces de ses empreintes digitales dans la vie courante.

Les données à trace engendrent des risques supplémentaires comme l’usurpa- tion d’identité et demandent une attention supplémentaire [CNI].

L’authentification revient à comparer l’empreinte biométrique d’une personne à une empreinte particulière stockée, par exemple, sur une carte à puce (lien 1 :1). Ce mode d’utilisation n’exige pas nécessairement le stockage d’informations identifiant le porteur de la carte, ce qui limite les risques sur la vie privée, particulièrement si l’authentification est réalisée à l’intérieur de la carte (match on card). D’un autre coté, l’identification biométrique consiste

`

a retrouver l’identité d’une personne à partir de sa donnée biométrique et d’une base de données contenant plusieurs personnes (lien 1 :N). Ce disposi- tif est beaucoup plus intrusif pour la vie privée des utilisateurs. Une variante vérifie seulement que la donnée biométrique est présente dans un ensemble de données sans renvoyer sur un individu particulier.

La protection des données biométriques est nécessaire pour assurer la sécurité des protocoles et la protection de la vie privée des utilisateurs.

Les engagements flous introduits par Juels et Wattenberg en 1999 [JW99, DRS04, Boy04] utilisent des codes correcteurs d’erreur sur des données biométriques binaires comme l’iriscode [HAD06, BCC⁺07]. D’un autre coté, la biométrie révocable est introduite en 2001 par Ratha et al. [RCB01] sur les empreintes digitales. De nombreux schémas sont proposés sur diverses modalités biométriques comme l’iris ou la reconnaissance faciale [JNN08, RU11a]. Quelques références récentes donnent un aper¸cu global sur les techniques de protection, comme [CS09, CGP⁺09, ABC⁺11, RU11b].

1. Il n’est pas certain que cette jeune femme ait donn´e son consentement pour la publication de l’image de son iris dans le monde entier.

(4)

3 Biom´ etrie et gestion de l’identit´ e

Une donnée biométrique appartient à la personne qui l’a générée. Cette donnée devrait donc être protégée par l’application du principe de sou- veraineté des données. De plus, celle-ci est par nature non révocable et ne pourra donc pas être modifiée si celle-ci est compromise, contrairement à un mot de passe traditionnel. Les données biométriques ne sont donc pas des informations personnelles comme les autres et cela implique que l’utilisation de telles données doit être exceptionelle et justifiée [CNI]. Toutes ces données sont stockées sur des supports variés, pouvant aller des supports individuels (carte à puce, éventuellement combinée avec une technologie sans contact, clé USB) à des supports non individuels gérés par des tiers. Ce dernier mode de stockage concerne généralement des serveurs contenant une grande quantité de données biométriques, et ne doit être utilisé que de manière exceptionelle [CNI] (idéalement jamais !).

L’introduction de données biométriques dans un document d’identité courant a commencé avec le passeport biométrique qui intégrait ces données dans une carte à puce sans contact (carte de proximité, ISO 14443) [ICA, fSidIB]. Ces données biométriques sont encodées au format CBEFF (ISO 19785). Les premiers passeports ne contenaient que des images faciales du porteur du document et présentaient de nombreuses failles de sécurité qui ont été mises en évidence tout au long de la dernière décennie (en particulier au niveau du protocole BAC pour l’accès aux données). L’Union Européenne y a ajouté toutefois des empreintes digitales [Uni]. Ainsi, en plus de la photographie faciale du detenteur du passeport, il y a deux empreintes digitales stockées dans le passeport biométrique fran¸cais. Une base de donnée centralisée est aussi créé, contenant les empreintes digitales de 8 doigts, impliquant des risques très importants. La CNIL est extrèmement réservée sur cette base centralisée, considérée comme disproportionnée, notamment vis-à-vis des principes de finalité et de proportionalité [CNI11].

La nouvelle carte d’identité biométrique fran¸caise (votée par 11 députés en session extraordinaire en juillet 2011) comprendra deux puces, dont l’une avec des données biométriques. L’intégration de données biométriques n’est pas uniquement réalisée pour des besoins de sécurité, comme en témoigne le rapport du sénat sur la proposition de loi relative à la protection de l’i- dentité [Pil11] : Le sujet engage aussi des enjeux économiques, industriels : la sécurisation des échanges électroniques est un marché [...]Les entreprises fran¸caises, en pointe sur ce domaine, veulent investir le marché fran¸cais.Ce fichier centralisé biométrique a toutefois été refusé par le conseil constitu- tionnel en mars 2012 pour atteinte à la protection de la vie privée [con]. Une vue générale sur les cartes d’identité européennes et la vie privée est donnée dans [Eni09]. Notons enfin, une directive européenne [Uni06] demandant aux

états de développer un permis de conduire numérique à partir de 2013, sans doute biométrique en France.

(5)

4 Authentification forte biom´ etrique

De multiples applications industrielles contenant des données biométriques voient le jour, généralement pour obtenir une authentification forte basée sur trois facteurs. Certaines applications sont largement répandues dans le com- merce, comme l’authentification par empreintes digitales pour accéder à son ordinateur personnel (ce qui revient à avoir son mot de passe écrit en clair sur chacune des touches de son PC,... au lieu de l’avoir sur un post-it ?). La biométrie est aussi envisagée dans d’autres applications industrielles, avec la mise en place de GAB ou de TPE comportant un capteur biométrique.

La banque Accord a ainsi été nominée aux Big Brother Awards 2010 pour l’expérimentation d’un système biométrique basé sur les veines du doigt, combiné avec une carte sans contact, en remplacement du code PIN, afin de fluidifier le passage en caisse dans les supermarchés. Le déploiement à grande échelle des systèmes biométriques est surtout freiné par une forte réticence de la population à s’enrôler et utiliser de telles applications.

Le développement de nombreux systèmes d’authentification biométrique, combiné avec l’existence de grandes bases de données biométriques multi- plie les menaces sur ces données d’identification sensibles. Or, les enjeux en termes de sécurité et de protection de la vie privée dans les systèmes biométriques dépassent complètement le cadre dans lesquels ceux-ci sont utilisés, car les données biométriques ne sont pas révocables. Si celles-ci sont compromises lors d’une application donnée, elles seront compromises pour toutes les applications, sans limite de temps. Ainsi, l’utilisation de la biométrie, pour renforcer la sécurité d’une application, augmente les menaces de toutes les autres applications biométriques.

Les techniques de protection match on card sur carte à puce ont deux limites importantes : premièrement elles ne peuvent pas être utilisées dans toutes les applications. Par ailleurs, elles supposent que les cartes utilisées soient inviolables. D’un autre côté, les systèmes de chiffrement biométriques assurent une certaine révocabilité et diversité des données biométriques, ainsi qu’une bonne sécurité, si la clé n’est pas compromise lors de la phase de vérification. Toutefois, ces schémas ne sont pas toujours applicables effi- cacement, selon la modalité biométrique utilisée. Un des enjeux majeurs en biométrie est donc de pouvoir utiliser des données qui soient révocables et spécifiques à chaque application. C’est l’objectif de la biométrie révocable, qui ne travaille que sur des données transformées et non-inversibles. Ces schémas doivent toutefois prendre en compte la variabilité naturelle des données biométriques et sont encore loin d’assurer la protection des données souhaitée, notamment vis-à-vis des attaques par substitution. La biométrie révocable fait d’ailleurs partie des challenges évoqués par le National Science and Technology Council sur la biométrie, concernant la partie protection de la vie privée [SoBM11].

(6)

5 Conclusion

Le développement croissant des systèmes d’identification et d’authentification biométrique est une menace importante pour la vie privée des personnes. Les données biométriques sont notamment des données personnelles, non révocables et très sensibles. Tout comme les techniques de chiffrement biométriques, la biométrie révocable pourrait être une solution à ce problème. La mise en place efficace de tels schémas, avec un niveau de sécurité important, reste encore à accomplir. C’est un challenge très important pour la protection de la vie privée dans les prochaines années.

R´ ef´ erences

[ABC⁺11] V. Alimi, R. Belguechi, E. Cherrier, P. Lacharme, and C. Rosen- berger. An Overview on Privacy Preserving Biometrics. Book on Biometrics, InTech, 2011.

[BCC⁺07] J. Bringer, H. Chabanne, G. Cohen, B. Kindarji, and G. Z´emor.

Optimal iris fuzzy sketches. In BTAS’07, pages 27–29, 2007.

[Boy04] X. Boyen. Reusable cryptographic fuzzy extractors. In ACM CCS, pages 82–91, 2004.

[CGP⁺09] S. Cimato, M. Gamassi, V. Piuri, R. Sassi, and F. Scotti.Privacy in Biometrics. Biometrics : Theory, Methods and Applications, 2009.

[CNI] CNIL. Communication de la cnil relative `a la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de donn´ees.

[CNI11] CNIL. Note d’observations de la cnil concernant la proposition de loi relative `a la protection de l’identit´e, 2011.

[con] Décision 2012-652 dc du 22 mars 2012 par le conseil constitu- tionnel sur la loi relative à la protection de l’identité.

[CS09] A. Cavoukian and A. Stoianov. Biometric Encryption. The En- cyclopedia of Biometrics, Springer Verlag, 2009.

[Dau] J. Daugman. How the afghan girl was identified by her iris pat- tern, http ://www.cl.cam.ac.uk/˜jgd1000/afghan.html.

[DRS04] Y. Dodis, L. Reyzin, and A. Smith. How to generate strong keys from biometrics and other noisy data. InEUROCRYPT’04, LNCS 3027, pages 523–540, 2004.

[Eni09] Enisa. Privacy features of european eid card specifications, technical report, 2009.

[FS87] A. Fiat and A. Shamir. How to prove yourself : Practical solutions to identification and signature problem. In CRYPTO’86, pages

(7)

[fSidIB] Bundesamt f¨ur Sicherheit in der Informationstechnik (BSI). Tr- 03110, v 2.02 : Advanced security mechanism for machine readable travel documents.

[HAD06] F. Hao, R. Anderson, and J. Daugman. Combining crypto with biometrics effectively. IEEE Transactions on Computers, 55(9) :1081–1088, 2006.

[ICA] ICAO. Doc 9303 : Machine readable travel documents - part 1, volume 1 (2004) et 2 (2006).

[JNN08] A. K. Jain, K. Nandakumar, and A. Nagar. Biometric template security.EURASIP J. Advances in Signal Processing, 8(2) :1–17, 2008.

[JW99] A. Juels and M. Wattenberg. A fuzzy commitment scheme. In ACM Conf. on Comp. and Comm. Security, pages 28–36, 1999.

[Pil11] F. Pillet. Rapport fait au nom de la commission des lois consti- tutionnelles, de législation, du suffrage universel, du règlement et d’administration générale sur la proposition de loi relative à la protection de l’identité, 2011.

[RCB01] N. Ratha, J. Connell, and R. M. Bolle. Enhancing security and privacy in biometrics based authentication systems. IBM Sys- tems, 40(3) :614–634, 2001.

[RU11a] C. Rathgeb and A. Uhl. The State-of-the-Art in Iris Biometric Cryptosystems. InTech, 2011.

[RU11b] C. Rathgeb and A. Uhl. A survey on biometric cryptosystems and cancelable biometrics. EURASIP J. on Information Security, 3, 2011.

[Sch90] C. P. Schnorr. Efficient identification and signatures for smart cards. InCRYPTO’89, pages 239–252, 1990.

[SoBM11] National Science, Technology Council. Subcommittee on Biomet- rics, and Identity Management. The national biometrics challenge. technical report, 2011.

[Uni] European Union. http ://ec.europa.eu/justice home/news/intro/

news 0606 en.htm.

[Uni06] European Union. Directive 2006/126/ce du parlement europ´een et du conseil relative au permis de conduire, 2006.